Le RGPD, pourquoi et comment s'y conformer avant mai 2018 ?

Les droits des citoyens et devoirs des entreprises, face à la protection des données

Alors que les Etats-Unis mettent fin à la neutralité du net, se prépare en Europe la mise en place du Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais), applicable à partir du 25 mai 2018.  Signé le 27 avril 2016 par le parlement européen et le conseil de l’Europe, ce règlement vise à protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel, et permettre à la libre circulation de ces données.

« Concrètement, le RGPD s’applique à toute structure, entreprise, ASBL, ou entité publique, en Europe ou non, qui traite des données personnelles - c’est-à-dire toute information permettant d’identifier une personne physique - dans l’Union Européenne » explique l’avocat Jacquelin d’Oultremont, fondateur du cabinet en ligne www.onlinelawyers.be, qui accompagne ses clients dans la mise en conformité au RGPD.


20 millions d’euros d’amende en cas de non-respect du GDPR

« Pour s’assurer du respect du règlement, de lourdes sanctions ont par ailleurs été prévues » ajoute-t-il. On parle en effet d’amendes de 20 millions d’euros ou de 4% du chiffre d’affaires mondial. A celles-ci s’ajoutent d’éventuelles réparations pour un dommage matériel ou moral, suite au non-respect du règlement. Mais l’objectif poursuivi est clairement plus constructif que répressif, puisque ce règlement vise à mettre en place un cadre commun sur le traitement des données dans toute l’Union Européenne. Ainsi, la protection et la portabilité des données doivent répondre aux mêmes règles d’un pays à l’autre. « Comme le numéro de GSM, les données personnelles pourront être transférées d’une entreprise à l’autre gratuitement et sur simple demande ».

 

Quelles sont Les obligations pour appliquer le GDPR ?

Certains aspects du RGPD relèvent du bon sens, puisque les données personnelles doivent par exemple être traitées de façon légale, transparente, et doivent être collectées dans un but précis, explicite, et légal. « Il faut toutefois se méfier de certaines spécificités, comme le consentement de la personne concernée, qui doit être volontaire, ce qui signifie que les cases cochées d’avance sont interdites sur les sites. » précise l’avocat d’Oultremont.

Toutes les organisations devront vérifier que leurs processus, leurs contrats, leurs conditions générales de ventes sont conformes. Elles devront être en mesure de respecter notamment le droit à l’oubli ou le droit à la portabilité des données. Les organisations devront en effet pouvoir démontrer, sur simple demande, l’efficacité des mesures techniques et organisationnelles mises en place. Toutes devront également effectuer des Analyses d’Impact de Protection des Données (AIPD) préalablement aux traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Concrètement, ces audits permettront de révéler la particularité et la gravité du risque encouru, en vue de déterminer les éventuelles mesures appropriées pour respecter le RGPD. Ces traitements devront par ailleurs être déclarés aux autorités de contrôle (la commission de la protection de la vie privée en Belgique).


Pour les autorités publiques, ou bien en cas de traitement de données à large échelle, un Délégué à la Protection des Données (DPD, ou DPO en anglais) est obligatoire. Il doit être indépendant de la hiérarchie et dûment formé. Il a pour mission de conseiller et accompagner son organisation sur le RGPD, surveiller la conformité, être le point de contact avec les autorités de contrôle. Même s’il n’est pas toujours obligatoire, avoir un DPD/DPO est toutefois vivement recommandé puisque ce sera la personne clef de votre mise en conformité.

 

Par ailleurs, les entreprises de plus de 250 employés ou traitant des données dites sensibles seront tenues de mettre en place un registre des traitements de données. « Ce seuil de 250 employés a été mis en place pour tenir compte de la situation particulière des associations, AISBL, et des petites et moyennes entreprises. »

 

Comment se conformer au RGPD ?

Vous pouvez réaliser cela au sein même de votre structure, puisque la condition d’indépendance hiérarchique du DPD/DPO n’empêche pas qu’il soit employé. Il sera alors chargé de faire tout le suivi de la mise en conformité. Il existe à cet égard des formations pour bien comprendre tout l’impact du RGPD sur votre activité. Une autre solution, sans doute plus facile et moins chère, est d’externaliser ceci chez des conseillers compétents. Certains cabinets d’avocats, comme www.onlinelawyers.be, connaissent bien le RGPD et proposent un état des lieux complet et un suivi de leurs recommandations. Il y a également des indépendants et d’autres structures qui peuvent vous aider pour les différentes étapes de votre mise en conformité.



 

Plus d’informations sur www.attorneygdpr.be


Disclaimer : Cet article est simplement écrit à titre indicatif et simultanément à la date de publication, en Belgique. Les lois étant en effet susceptibles d'évoluer dans le temps, et de changer en fonction des régions, il est préférable de consulter un avocat pour vous accompagner.